Поддержка

Поддержка приложений для бизнеса

Kaspersky CyberTrace

Руководства по установке и интеграции

Часть 2. Интеграция Kaspersky CyberTrace с источником событий

Интеграция с QRadar

Стандартная интеграция (QRadar)

Шаг 2. Отправка набора событий в QRadar

Kaspersky CyberTrace
Нет результатов
Онлайн-справка
FAQ Системные требования Скачать Запрос в поддержку Утилиты для лечения Видео о продуктах

Шаг 2. Отправка набора событий в QRadar

11 апреля 2024

ID 167590

На этом шаге необходимо отправить в QRadar два набора событий, чтобы QRadar автоматически добавил два новых источника журналов — один для проверки работоспособности, а другой — для событий из Kaspersky CyberTrace Service.

Чтобы добавить новые источники журналов, выполните следующие действия:

  1. Отправьте файл журнала проверки работоспособности.

    Отправьте в QRadar файл verification/kl_verification_test_leef.txt, как описано в процедуре в подразделе «Отправка набора событий» ниже.

    После отправки файла проверки работоспособности QRadar будет содержать источник журналов KL_Verification_Tool.

  2. Отправьте образец файла журнала.

    Для тестирования и окончательной настройки интеграции с QRadar отправьте образец файла журнала integration/qradar/sample_initiallog.txt в QRadar, как описано в процедуре в подразделе «Отправка набора событий» ниже.

    После отправки файла проверки работоспособности QRadar будет содержать источник журналов KL_Feed_Service_v2.

    Согласно документации QRadar, после добавления нового источника журналов может быть пропущено до 25 событий. Таким образом, возможно, файл sample_initiallog.txt придется отправить несколько раз. Таким образом будет обеспечено отображение некоторых событий в QRadar и их обработка в Kaspersky CyberTrace Service.

Отправка набора событий

Чтобы отправить события в QRadar, выполните следующие действия:

  1. В элементе Connection конфигурационного файла Log Scanner укажите IPv4-адрес и порт сервера QRadar (обычно это 514).
  2. Вызовите следующую команду из каталога Log Scanner.

    В ОС Linux:

    ./log_scanner -p <log_file> [-p <log_file2> ...]

    В ОС Windows:

    log_scanner.exe -p <log_file> [-p <log_file2> ...]

    <log_file>, <log_file2> — отправляемые файлы журнала. Кроме того, можно указать каталог, содержащий файлы журнала для отправки.

  3. В QRadar Console (т. е. в веб-интерфейсе QRadar) выберите Admin > Log Sources.

    В списке источников журналов появится новый источник журналов типа Kaspersky CyberTrace.

  4. В форме настроек нового источника журналов снимите флажок Coalescing Events и нажмите кнопку Save.

    Окно Edit a log source в QRadar.

    Редактирование источника журналов

  5. При необходимости выполните развертывание изменений, для этого выберите пункт меню Admin > Deploy Changes в QRadar Console.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!